Los investigadores de ESET Research han identificado un nuevo malware bautizado como HybridPetya, un bootkit y ransomware que combina características del infame Petya/NotPetya, el ciberataque más destructivo de la historia reciente, con nuevas capacidades dirigidas a comprometer sistemas modernos. La muestra fue detectada tras ser subida desde Polonia a la plataforma VirusTotal, lo que ha despertado el interés de la comunidad de ciberseguridad.
HybridPetya se diferencia de su predecesor en varios aspectos. Según Martin Smolár, investigador de ESET que realizó el hallazgo, el nuevo código “incorpora la capacidad de comprometer sistemas basados en UEFI y de aprovechar la vulnerabilidad CVE-2024-7344 para sortear el mecanismo de UEFI Secure Boot en equipos desactualizados”. Esta característica lo convierte en una amenaza más sofisticada y adaptada a infraestructuras actuales.
A finales de julio de 2025, el equipo de ESET detectó varios archivos sospechosos con nombres como notpetyanew.exe, lo que apuntaba a un vínculo directo con el malware que en 2017 causó estragos en Ucrania y otros países, con pérdidas globales estimadas en más de 10.000 millones de dólares. Las similitudes llevaron a los expertos a clasificar esta nueva variante como una “evolución híbrida” de Petya y NotPetya.
Entre sus novedades, HybridPetya utiliza un algoritmo de generación de claves distinto al de NotPetya original, lo que permite a los atacantes reconstruir claves de descifrado a partir de las de instalación personal. Esto significa que, a diferencia de NotPetya, que era considerado más un wiper destructivo que un ransomware real, HybridPetya sí puede ser utilizado de manera efectiva para extorsión económica.
El malware también destaca por su capacidad para instalar una aplicación EFI maliciosa en la partición del sistema, encargada de cifrar el archivo de la Master File Table (MFT) de NTFS, un elemento esencial que almacena la información de todos los archivos en una partición Windows.
Durante la investigación, ESET descubrió además un archivo comprimido en VirusTotal con todo el contenido de una partición EFI, incluido un ejecutable casi idéntico al de HybridPetya pero empaquetado en un archivo especial (cloak.dat). Este archivo explotaba la vulnerabilidad CVE-2024-7344, previamente documentada por ESET a principios de 2025.
De momento, la telemetría de ESET no muestra señales de que HybridPetya esté siendo utilizado en ataques reales, lo que lleva a pensar que podría tratarse de una prueba de concepto creada por un investigador de seguridad o por un actor malicioso aún desconocido. Además, no reproduce el comportamiento de propagación en red que hizo tan devastador al NotPetya original.
Aun así, el hallazgo genera preocupación. Como explica Josep Albors, director de investigación y concienciación de ESET España:
“Con los antecedentes de NotPetya y los daños que provocó en 2017, no es de extrañar que el descubrimiento de un malware que parece ser su heredero despierte tanto interés. Aunque no se propague de forma activa, aprovecha una vulnerabilidad con más de un año de antigüedad, lo que refuerza la necesidad de contar con una política eficaz de gestión de parches y actualizaciones”.
Con este descubrimiento, ESET advierte a las organizaciones de la importancia de mantener sus sistemas actualizados y reforzar la vigilancia sobre los entornos UEFI, un vector cada vez más explotado por las amenazas avanzadas.
